Политика об обработке персональных данных поставщиков и подрядчиков

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Положение об обработке персональных данных (далее - "Положение") разработано и применяется ООО «Группа АБСОЛЮТ» (далее - "Оператор") в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
Настоящее Положение определяет политику, порядок и условия Оператора в отношении обработки персональных данных, устанавливает процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений, связанных с обработкой персональных данных.
Все вопросы, связанные с обработкой персональных данных, не урегулированные настоящим Положением, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.
К Оператору не применяются положения законодательства иностранных государств в области персональных данных, деятельность Оператора в области персональных данных регулируется исключительно законодательством Российской Федерации.
Субъект персональных данных, в отношении которого применяются также положения законодательства иностранного государства о персональных данных, самостоятельно несет ответственность (риск негативных последствий) за соблюдение (не соблюдение) им положений законодательства иностранного государства (группы государств) о персональных данных. При этом субъект персональных данных не вправе требовать от Оператора возмещения каких-либо убытков, возникших у субъекта персональных данных в связи с нарушением законодательства иностранного государства (группы государств) о персональных данных.
1.2. Настоящее Положение и изменения к нему утверждаются руководителем Оператора и вводятся приказом Оператора.
1.3. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
1.4. Аудит соблюдения Оператором требований законодательства Российской Федерации и положений локальных нормативных актов Оператора организован в соответствии с внутренними нормативными документами Оператора.
1.5. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Оператором требований Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", определяется в соответствии со ст. ст. 15, 151, 152, 1101 Гражданского кодекса Российской Федерации.
1.6. При осуществлении сбора персональных данных с использованием информационно-телекоммуникационных сетей Оператор до начала обработки персональных данных обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
1.7. Оператор обязан представить документы и локальные акты, указанные в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", по запросу уполномоченного органа по защите прав субъектов персональных данных.
1.8. Условия обработки персональных данных Оператором:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации Оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов Оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в статье 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных", при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
1.9. Оператор на основании договора может поручить обработку персональных данных третьему лицу. Существенным условием такого договора является наличие права у данного лица на обработку персональных данных, обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
1.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном Положением о хранении персональных данных у Оператора.
1.11. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

2. ЦЕЛИ И ПРИНЦИПЫ:
2.1. Целями обработки персональных данных являются:
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- продвижение товаров, работ, услуг Оператора на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи.
- предоставление информации о проводимых закупочных процедурах;
- осуществления коммуникаций в ходе осуществления закупочных процедур;
- выполнения полномочий и обязанностей, возложенных на Компанию законодательством Российской Федерации;
- для других целей по согласованию с субъектом персональных данных.
2.2. Обработка персональных данных осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и настоящим Положением.
2.3. Обработка организована Оператором на принципах:
- законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;
- достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

3. ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ.
3.1 Оператором осуществляются следующие виды обработки персональных данных:
- сбор;
- запись;
- систематизация;
- накопление;
- хранение;
- уточнение (обновление, изменение);
- использование;
- извлечение;
- передача (предоставление, доступ);
- обезличивание;
- блокирование;
- удаление;
- уничтожение.
3.2. Обработка персональных данных Оператором осуществляется следующими способами:
- неавтоматизированная обработка персональных данных;
- автоматизированная обработка персональных данных;
- смешанная обработка персональных данных.
3.3. Оператор не осуществляет трансграничную передачу персональных данных.
3.4. Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов персональных данных, третьей стороне без согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами РФ.
3.5. По мотивированному запросу исключительно для выполнения возложенных законодательством обязательств, функций и полномочий субъекта персональных данных, без его согласия могут быть переданы:
- в судебные органы в связи с осуществлением правосудия;
- в органы федеральной службы безопасности;
- в органы прокуратуры;
- в органы полиции;
- в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.


4. ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ:
4.1. Обрабатываются персональные данные следующих категорий субъектов:
- поставщики и подрядчики (представители поставщиков и подрядчиков);
- другие субъекты персональных данных (для обеспечения целей, указанных в разделе 2 Положения).

5. КОНФЕДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ.
5.1. Работники Оператора и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами РФ.

6. СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ.
6.1. Оператор осуществляет обработку персональных данных без согласия субъектов персональных данных в случаях, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
6.2. Во всех остальных случаях обработка персональных данных осуществляется с согласия субъектов персональных данных.

7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ.
7.1. Субъекты персональных данных или их представители обладают правами, предусмотренными Федеральным законом от 27.07.2006 N 152-ФЗ "О персональных данных" и другими нормативно-правовыми актами, регламентирующими обработку персональных данных, в том числе:
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке;
- на обжалование действий или бездействия Оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке в случаях, если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований законодательства РФ в области персональных данных;
- на получение информации, касающейся обработки его персональных данных, а именно содержащей сведения, предусмотренные ч. 7, ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- на уточнение своих персональных данных, их блокирование или уничтожение в случаях если, персональных данных являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленных целей обработки;
- требовать от Оператора принимать предусмотренные законом меры по защите прав субъекта персональных данных.
7.2. Для уточнения, блокирования, уничтожения своих персональных данных субъекту персональных данных необходимо направить письменный запрос в свободной форме на осуществление таких операций Оператору.
7.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.


8. ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА:
8.1. Оператор имеет право:
- на защиту своих прав и законных интересов в судебном порядке;
- предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством РФ (правоохранительные, судебные, налоговые органы и другие);
- обрабатывать персональные данные для достижения целей, предусмотренных международными договорами РФ или законом, для осуществления и/или выполнения возложенных законодательством РФ на Оператора обязанностей, функций и полномочий;
- отказывать в предоставлении персональных данных в случаях, предусмотренных ч.6, ст. 14 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- обрабатывать персональные данные субъекта без его согласия, в случаях, предусмотренных ч. 1, ст. 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
8.2. Оператор обеспечивает права субъектов персональных данных в порядке, установленном главами 3 и 4 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
8.3. Оператор обязан:
- принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами;
- опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных;
- принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении обрабатываемых персональных данных;
- в случае получения персональных данных не от субъекта персональных данных, за исключением случаев, предусмотренных ч. 4, ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», до начала обработки таких персональных данных предоставить субъекту персональных данных следующую информацию:
• наименование и адрес Оператора или его представителя;
• цель обработки персональных данных и ее правовое основание;
• перечень предполагаемых пользователей персональных данных;
• установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных;
• источник получения персональных данных.
8.4. Оператор, согласно ч. 3 ст. 20 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.
8.5. Оператор обязан немедленно прекратить по требованию субъекта персональных данных обработку его персональных данных, указанную в ч. 1 ст. 15 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных".
8.6. В случаях выявления неточных, неполных или неактуальных персональных данных, неправомерной обработки персональных данных, достижения целей обработки персональных данных, Оператор обязан действовать в соответствии с положениями Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
8.7. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в ст. 21 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», осуществить блокирование таких персональных данных и обеспечить уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами РФ.
8.8. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

9. МЕРЫ, ПРИМЕНЯЕМЫЕ ДЛЯ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.
9.1. Меры, по обеспечению безопасности персональных данных при их обработке устанавливаются Оператором в соответствии с локальными нормативными актами и могут включать:
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, в том числе прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- иные меры защиты, предусмотренные нормативными правовыми актами в области защиты информации и персональных данных.